Estoy inspeccionando un sitio web de Wordpress para un cliente y he encontrado que algunos backdoor estaban presentes en la carpeta webroot.
Ahora tengo que entender cómo el atacante hizo eso al revisar el código fuente que el cliente me proporciona.
¿Cuáles son las formas en que un atacante podría cargar una puerta trasera? ¿En qué parte del código debería enfocarme?
No tomes esto como un insulto, pero el hecho de que no sepas por dónde empezar es un obstáculo. Considere lo siguiente: Usted audita el código a smithereens solo para encontrar a alguien que esté dentro y ponga la puerta trasera en la carpeta webroot. ¿Y que? Has perdido el tiempo.
Su mejor apuesta es tratar de determinar cuándo sucedió esto a través del análisis de registros, que probablemente revelará qué complemento o vulnerabilidad de wordpress fue explotada. Para hacer esto, emitiría un ls -ltha en el archivo para obtener una marca de tiempo (con la esperanza de que alguien no haya modificado esto). Una vez que obtuve la marca de tiempo, pasaría por los registros de acceso y error del servidor web para ese período de tiempo, analizaría el nombre de la aplicación, y demás.
Mi corazonada me dice que alguien explotó un complemento vulnerable, o una versión de wordpress, en cuyo caso, el tiempo empleado en analizar el código se usaría de manera más productiva en las actualizaciones y en proteger el sistema.
En cuanto a cómo se puede haber cargado la puerta trasera, esto es amplio. Hasta que determine si se cargó o no, DEBIDO a WordPress, está jugando un juego de adivinanzas. ¿Cómo sabes que alguien no impuso fuerza bruta al servidor (ssh) y luego lo subió? ... Analiza primero los archivos de registro del servidor.
Lea otras preguntas en las etiquetas wordpress